La interrupción de Kia puede ser el resultado de un ransomware


Según los informes, una interrupción de una semana para Kia está relacionada con un ataque de ransomware de la banda DoppelPaymer, dice BleepingComputer.

Secuestro de datos

Imagen: kaptnali, Getty Photographs / iStockphoto

Es posible que Kia Motors America se haya visto afectada por un ataque de ransomware que ha eliminado algunos de sus servicios clave para el cliente. En una historia publicada el martes, el sitio net BleepingComputer informó que Kia Motors Usa sufría una interrupción en todo el país que estaba afectando a los servidores de TI, los servicios telefónicos de auto pago, las plataformas de los distribuidores, la asistencia telefónica y las aplicaciones móviles. La interrupción aparentemente comenzó el sábado cuando el portal de propietarios de Kia se desconectó, mostrando un error de que Kia estaba «experimentando una interrupción del servicio de TI que ha afectado a algunas redes internas».

En una declaración compartida con TechRepublic, Kia Motors reconoció que una interrupción ha estado en vigencia desde el sábado y que su aplicación UVO y el portal del propietario ahora están operativos nuevamente. Kia agregó que espera que sus sistemas primarios afectados de cara al cliente restantes continúen en línea dentro de las próximas 24 a 48 horas.

VER: Ransomware: lo que los profesionales de TI deben saber (PDF gratuito) (TechRepublic)

Pero BleepingComputer también descubrió un tweet publicado el lunes por un cliente de Kia que afirma que había ido a un concesionario de Kia en Arizona para firmar un nuevo contrato de arrendamiento. En respuesta, el gerente supuestamente le dijo que sus computadoras habían estado inactivas durante tres días debido al ransomware, que ha afectado a Kia en todo Estados Unidos.

El miércoles, una historia de seguimiento de BleepingComputer informó que Kia había sido víctima de un ataque de ransomware por parte de la banda DoppelPaymer. Según los informes, una nota de rescate obtenida por BleepingComputer afirma que la red de la empresa matriz de Kia, Hyundai Motor The united states, ha sido atacada y que los archivos, copias de seguridad y instantáneas no estarán disponibles hasta que paguen por una herramienta de descifrado.

Además, una página privada de víctimas en el DoppelPaymer El sitio de pago de Tor vinculado desde la nota de rescate afirma que una gran cantidad de datos fue robada o exfiltrada de Kia Motors America y que se dará a conocer públicamente en dos o tres semanas si la compañía no negocia. A cambio del descifrado de los datos robados, la pandilla exige 404 bitcoins (alrededor de $ 20 millones). Si el rescate no se paga dentro de los nueve días, el precio aumentará a 600 bitcoins ($ 32 millones).

Sin embargo, la respuesta oficial de Kia Motors The united states hasta ahora cuestiona cualquier informe de un ataque de ransomware. En su declaración, Kia Motors respondió a tal especulación: «En este momento, y basándonos en la mejor y más actualizada información, podemos confirmar que no tenemos evidencia de que Kia o cualquier dato de Kia esté sujeto a un ataque de ransomware».

VER: Cómo comprobar fácilmente si un correo electrónico es legítimo o una estafa, y protegerse a sí mismo y a su empresa (TechRepublic)

Una declaración comparable de Hyundai Motor The united states reconoció que la interrupción comenzó el sábado por la mañana y todavía afecta a un número limitado de sistemas orientados al cliente, que están en proceso de volver a estar en línea. Sin embargo, la compañía dijo que «no ha visto evidencia de que Hyundai Motor The us o sus datos estén sujetos a un ataque de ransomware».

Pero la escasez de detalles de Kia y Hyundai sobre el apagón está levantando una bandera roja con algunas personas.

«Todavía no hay detalles compartidos de Kia sobre la fuente de la interrupción, declarando que fue un problema typical de la purple y no relacionado con ransomware», dijo a TechRepublic Kevin Dunne, presidente del proveedor de seguridad de aplicaciones Greenlight. «Sin embargo, DoppelPaymer todavía declara activamente que tienen los datos de Kia bajo rescate. La falta de comunicación de Kia sobre otra causa de la interrupción es preocupante y no genera una gran credibilidad para los usuarios de que sus datos están realmente seguros».

La causa subyacente de la interrupción aún se desconoce oficialmente. Pero si la fuente period un proveedor externo, entonces una empresa como Kia revelaría ese hecho y mantendría la presión sobre el proveedor para solucionar el problema, dijo Dunne. Además, la falta de una causa raíz clara estos muchos días después de la interrupción genera más preguntas que respuestas y apunta a un ataque de malos actores, agregó Dunne.

Cualquiera que sea la causa en este caso, la táctica de ransomware de DoppelPaymer se está volviendo demasiado familiar. En lugar de simplemente retener los datos descifrados para pedir un rescate, los atacantes también amenazan con divulgarlos públicamente si no hay pago.

VER: Los ataques de adquisición de cuentas aumentaron en 2020, dice Kaspersky (TechRepublic)

«Este ataque generalmente se enfoca en empresas con información crítica de los clientes que sería dañina si se publicara», dijo Dunne. «Incluso si la víctima puede volver a una versión no infectada de sus sistemas y volverse operativa, aún debe pagar el rescate para proteger los datos de sus clientes».

Con este tipo de ataques de doble filo, incluso la estrategia correcta de copia de seguridad y recuperación solo solucionará la mitad del problema si los atacantes aún pueden liberar los datos robados.

«Los ciberdelincuentes se están volviendo más sofisticados y, a medida que lo hacen, se están volviendo más audaces», dijo a TechRepublic Saryu Nayyar, director ejecutivo de la empresa de ciberseguridad Gurucul. «Están apuntando a las grandes empresas, robando archivos antes de cifrarlos y exigiendo rescates de varios millones de dólares para evitar la destrucción o liberación de los datos cautivos».

Como resultado, las organizaciones deben hacer más para proteger sus entornos, dijo Nayyar. Esto significa las defensas técnicas habituales, como el análisis de seguridad, pero también una mejor educación del usuario, ya que muchos ataques provienen de phishing o ingeniería social.

«Eventualmente, la comunidad internacional de aplicación de la ley tendrá que intensificar y lidiar con estas bandas de ciberdelincuentes», agregó Nayyar. «Hasta que eso suceda, estos negocios criminales seguirán operando casi con impunidad».

Ver también





Enlace a la noticia unique